classic.ISPforum.cz

Ahoj,

mame problemy se SYN floody. Nicmene nam nevadi to, ze by nasim routerum utocnik vypotreboval zdroje (protoze na router nebezi zadna sluzba dostupna zakaznikum). Vadi ale to, ze behem flood utoku zakaznik (resp. jeho zavirovany PC) vytizi linku tak, ze dojde k nekolika sekundovym vypadkum. Coz je pri hodne floodech hodne otravne.

Ma teda smysl zapinat na routeru (Debian Squeeze) podporu SYN cookies? Podle me by to melo smysl, jen kdyby router zaroven poskytoval zakaznikum nejakou sluzbu (napr. web server). Na druhou stranu, uskodit by to zrejme moc nemelo. Jak to ale bude s logovanim v iptables? Bude se do messages i po zapnuti SYN cookies zapisovat log o detekci SYN floodu?

Jakym zpusobem resite zakazniky, z jejichz domacich routeru a PC se vam na sit siri ruzne floody a jiny bordel?

Pep.

tak tohle se dá řešit lehce pomocí pravidla ne? TCP zařízneš v klidu kdykoliv. Počkej až tě lidi budou drtit UDP pakety. Ty zastavíš jenom jednim způsobem... odpojit klienta.

jj, tim pravidlem to mam zariznute, ale pres sit to na router stejne projde a to je ten problem, co mi vadi. Rikam si, ze korektni TCP provoz neni problem omezovat na routeru, protoze klient zpomali vysilani. Ale plati to tak i v pripade cilenych utoku, kdy klient nema duvod zpomalovat? Predpokladam, ze to vetsinou budou delat viry, ktere mohou byt specialne upravene k tomu, aby se nespomalovaly.

Ohledne SYN flood utoku uvnitr vlastni site mam velmi spatnou zkusenost s WiFi routery Tenda. Dokud jsem si jeden spatny od zakaznika nevzal na testy na stole (s firmware "V5.19.08_MULTI"), mel jsem jen silne podezreni, ale ted mam uz jistotu, ze ty sr*cky rozsilaji SYN floody. Takovych Tenda routeru bylo na siti nekolik, ale po upozorneni nasim uzivatelum si to vetsinou vyresili upgradem. Jenze to lama nezvladne... (jeden zakaznik se zbavil tech floodu tim, ze prehral firmware dokonce i stejnou verzi - jsem zvedavy, jestli se mu to tam zase objevi...)

Jake s tim mate zkusenosti vy? Resili jste to se spolednosti Tenda (nebo kdo jim to tady servisuje?)

Z te jedne Tendy mam udelany dump hlavicek paketu, pricemz za Tendou byl zapojeny jen jeden RB750 v defaultu (aby na LAN bylo vubec neco slinkovane). Sniffovani probihalo pres noc na WAN portu. Od zapnuti routeru se floody zacali objevovat az za cca 4-5 hodin. SYN flood utoky jsou smerovane na verejne IP adresy uvnitr nasi site a vzdy z podvrzenych IP adres.

Tj. muj zaver: Tenda routery musi byt zavirovane.

Tj. muj zaver: Tenda routery musi byt zavirovane.

a moj zaver je, ze su vyrobene v cine... sledovanie uzivatelov

Tenda....uz ten nazef je divnej...a nastesti sem se neuchyloval nikdy k takovymu srotu, to nejnizsi ale zaroven celkem bezproblemove mi prijde TPlink...

routery Tenda - jen na vlastni nebezpeci

PW

Tak po delsi dobe pisu zase do tohoto vlakna.

Je snort dobra volba pro _detekci_ zakazniku, z jejichz domacich zarizeni se siri hlavne ruzne floody, ale i jiny bordel? Pokud bych uz musel snort instalovat, zrejme by byl pripojeny na mirroring port na switchi a s nadstavbou Snorby. Moc se mi to instalovat ale nechce. Leda by to bylo nutne nebo by to oproti tomu, co pisu dal prineslo i jine vyhody, napr. detekci jinych abnormalit prochazejicich siti nez ktere umi detekovat iptables.

Nestacil by jen server s IP tables (taky pripojeny na mirooring port), v promiskuitnim modu s IPtables pravidlem pro kazdou IP adresu s nastavenym "-m limit --limit 1/s --limit-burst 3" na nejake hodnoty? Jake vsechny sitove anomalie (slusne receno) vubec dokaze iptables detekovat? SYN floody a ICMP floody do logu oznacovat umi, to je jasne, ale co dal? Oznacovani tech anomalii logovanim do messages/syslog by mi stacilo.

PS: je nejak mozne, aby iptables logoval i zdrojovou MAC adresu paketu (v ramci L2 segmentu, samozrejme)?

Zkratka potrebuju s jistotou ukazat na zlobive kluky a holky na nasi siti a pri neuposlechnuti "doporuceni" odvirovani si svych PC atd. je automaticky zastrelit, dve davky

PPS: Pokud je iptables pravidlo, kde je nastavene napr. "-m limit --limit 1/s --limit-burst 3" pro SYN pakety napsane tak, ze je spolecne pro napr. subnet /24, muze v tom pripade dojit k falesne detekci SYN floodera? Rekneme, ze zlobivy SYN flooder flooduje, ale tesne pred tim, nez ho chyti iptables pravidlo prestane. Hned po jeho poslednim syn flood paketu ale pravidlem projde korektni SYN paket nekoho jineho/hodneho. Kdyby ten korektni/hodny SYN paket byl nadlimitni, byl by za zlobiveho flodera oznacen hodny kluk? (Pokud to mozne je, a predpokladam, ze je, tak je asi resenim mit prave asi jedno pravidlo na jednu IP adresu, coz si na GW nedam a musi to stejne bezet na vyhrazenem stroji.)

Pep.

Add problémy routery: Problém byl trochu jinde, setkali jsme se s tim také. Dobře popsané také: http://www.wms.cz/novinky/#A84 Jinak Tendy byli docela dobré routery z číny než jim po*urvili FW. Jinak HW Tend je poměrně spolehlivý.

má to význam zapínat to na MK ?